Konfigurowanie kontrolek identyfikacji i uwierzytelniania w celu spełnienia poziomu fedRAMP High Impact przy użyciu identyfikatora Entra firmy Microsoft
Identyfikacja i uwierzytelnianie są kluczem do osiągnięcia poziomu wysokiego wpływu programu FedRAMP (Federal Risk and Authorization Management Program ).
Poniższa lista kontrolek i ulepszeń kontroli w rodzinie identyfikacji i uwierzytelniania (IA) może wymagać konfiguracji w dzierżawie firmy Microsoft Entra.
| Rodzina kontrolek | opis |
|---|---|
| IA-2 | Identyfikacja i uwierzytelnianie (użytkownicy organizacji) |
| IA-3 | Identyfikacja i uwierzytelnianie urządzeń |
| IA-4 | Zarządzanie identyfikatorami |
| IA-5 | Zarządzanie modułem Authenticator |
| IA-6 | Opinia wystawcy uwierzytelnienia |
| IA-7 | Uwierzytelnianie modułu kryptograficznego |
| IA-8 | Identyfikacja i uwierzytelnianie (użytkownicy nieorganizacyjny) |
Każdy wiersz w poniższej tabeli zawiera normatywne wskazówki ułatwiające opracowywanie odpowiedzi organizacji na wszelkie wspólne obowiązki dotyczące ulepszenia kontroli lub kontroli.
Konfiguracje
| Identyfikator i opis kontrolki FedRAMP | Microsoft Entra guidance and recommendations (Wskazówki i zalecenia firmy Microsoft) |
|---|---|
| Identyfikacja i uwierzytelnianie użytkowników IA-2 System informacyjny jednoznacznie identyfikuje i uwierzytelnia użytkowników organizacji (lub procesy działające w imieniu użytkowników organizacji). |
Unikatowe identyfikowanie i uwierzytelnianie użytkowników lub procesów działających dla użytkowników. Identyfikator Entra firmy Microsoft jednoznacznie identyfikuje obiekty użytkownika i jednostki usługi bezpośrednio. Identyfikator Entra firmy Microsoft udostępnia wiele metod uwierzytelniania i można skonfigurować metody zgodne z poziomem uwierzytelniania National Institute of Standards and Technology (NIST) 3. Identyfikatory Uwierzytelnianie i uwierzytelnianie wieloskładnikowe |
| IA-2(1) System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu sieciowego do kont uprzywilejowanych. IA-2(3) System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu lokalnego do kont uprzywilejowanych. |
Uwierzytelnianie wieloskładnikowe dla wszystkich dostępu do kont uprzywilejowanych. Skonfiguruj następujące elementy dla kompletnego rozwiązania, aby zapewnić, że cały dostęp do uprzywilejowanych kont wymaga uwierzytelniania wieloskładnikowego. Skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników. W przypadku wymagania aktywacji usługi Privileged Identity Management aktywacja konta uprzywilejowanego nie jest możliwa bez dostępu do sieci, więc dostęp lokalny nigdy nie jest uprzywilejowany. uwierzytelnianie wieloskładnikowe i usługa Privileged Identity Management |
| IA-2(2) System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu sieciowego do kont niezaufakturowanych. IA-2(4) System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu lokalnego do kont nieuprzywilejowanych. |
Implementowanie uwierzytelniania wieloskładnikowego dla całego dostępu do kont nieuprzywilejowanych Skonfiguruj następujące elementy jako ogólne rozwiązanie, aby zapewnić, że cały dostęp do kont nieuprzywilejowanych wymaga uwierzytelniania wieloskładnikowego. Skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników. Firma Microsoft zaleca używanie wieloskładnikowego wystawcy uwierzytelniającego sprzęt (na przykład kluczy zabezpieczeń FIDO2, Windows Hello dla firm (ze sprzętowym modułem TPM) lub karty inteligentnej w celu osiągnięcia usługi AAL3. Jeśli Twoja organizacja jest oparta na chmurze, zalecamy używanie kluczy zabezpieczeń FIDO2 lub Windows Hello dla firm. Windows Hello dla firm nie został zweryfikowany na wymaganym poziomie zabezpieczeń FIPS 140 i jako taki klienci federalni musieliby przeprowadzić ocenę ryzyka i ocenę przed zaakceptowaniem go jako AAL3. Aby uzyskać więcej informacji na temat weryfikacji Windows Hello dla firm FIPS 140, zobacz Microsoft NIST AALs. Zapoznaj się z poniższymi wskazówkami dotyczącymi zasad zarządzania urządzeniami przenośnymi różnią się nieznacznie w zależności od metod uwierzytelniania. Karta inteligentna/Windows Hello dla firm Tylko hybryda Tylko karta inteligentna Klucz zabezpieczeń FIDO2 Metody uwierzytelniania Zasoby dodatkowe: |
| IA-2(5) Organizacja wymaga uwierzytelnienia osób za pomocą indywidualnego wystawcy uwierzytelnienia, gdy jest zatrudniony wystawca uwierzytelnienia grupy. |
Jeśli wielu użytkowników ma dostęp do hasła konta udostępnionego lub grupowego, wymagaj od każdego użytkownika uprzedniego uwierzytelnienia przy użyciu indywidualnego wystawcy uwierzytelnienia. Użyj indywidualnego konta na użytkownika. Jeśli wymagane jest konto udostępnione, identyfikator Entra firmy Microsoft zezwala na powiązanie wielu wystawców uwierzytelnienia z kontem, tak aby każdy użytkownik miał indywidualny wystawcę uwierzytelnienia. Zasoby |
| IA-2(8) System informacyjny implementuje mechanizmy uwierzytelniania odpornego na odtwarzanie na potrzeby dostępu sieciowego do uprzywilejowanych kont. |
Zaimplementuj mechanizmy uwierzytelniania odpornego na odtwarzanie na potrzeby dostępu sieciowego do kont uprzywilejowanych. Skonfiguruj zasady dostępu warunkowego, aby wymagać uwierzytelniania wieloskładnikowego dla wszystkich użytkowników. Wszystkie metody uwierzytelniania entra firmy Microsoft na poziomie uwierzytelniania 2 i 3 używają rozwiązań innych niż lub wyzwań i są odporne na ataki powtarzane. Informacje |
| IA-2(11) System informacyjny implementuje uwierzytelnianie wieloskładnikowe na potrzeby dostępu zdalnego do uprzywilejowanych i nieuprzywilejowanych kont, tak aby jedno z tych czynników było udostępniane przez urządzenie niezależnie od systemu uzyskującego dostęp, a urządzenie spełnia wymagania [Przypisanie FedRAMP: FIPS 140-2, certyfikacja NIAP lub zatwierdzenie NSA*]. *Krajowe partnerstwo w zakresie zapewniania informacji (NIAP) Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP: Wskazówki: PIV = oddzielne urządzenie. Zapoznaj się z wytycznymi NIST SP 800-157 dotyczącymi pochodnych poświadczeń weryfikacji tożsamości osobistej (PIV). Standard FIPS 140-2 oznacza zweryfikowany przez program weryfikacji modułu kryptograficznego (CMVP). |
Zaimplementuj uwierzytelnianie wieloskładnikowe firmy Microsoft w celu zdalnego uzyskiwania dostępu do zasobów wdrożonych przez klienta, dzięki czemu jedno z czynników jest udostępniane przez urządzenie niezależnie od systemu uzyskującego dostęp, w którym urządzenie spełnia wymagania standardu FIPS-140-2, certyfikacji NIAP lub zatwierdzenia przez NSA. Zobacz wskazówki dotyczące IA-02(1-4). Metody uwierzytelniania firmy Microsoft Entra, które należy wziąć pod uwagę w usłudze AAL3, spełniają oddzielne wymagania dotyczące urządzeń: Klucze zabezpieczeń FIDO2 Informacje |
| **IA-2(12)* System informacyjny akceptuje i elektronicznie weryfikuje poświadczenia weryfikacji tożsamości osobistej (PIV). IA-2 (12) Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP: Wskazówki: obejmują wspólną kartę dostępu (CAC), czyli techniczną implementację usługi DoD PIV/FIPS 201/HSPD-12. |
Zaakceptuj i zweryfikuj poświadczenia weryfikacji tożsamości osobistej (PIV). Ta kontrolka nie ma zastosowania, jeśli klient nie wdraża poświadczeń piv. Skonfiguruj uwierzytelnianie federacyjne przy użyciu usług Active Directory Federation Services (AD FS) do akceptowania uwierzytelniania piV (uwierzytelniania certyfikatu) jako metod uwierzytelniania podstawowego i wieloskładnikowego oraz wystawiania oświadczenia uwierzytelniania wieloskładnikowego (MultipleAuthN), gdy jest używana usługa PIV. Skonfiguruj domenę federacyjną w usłudze Microsoft Entra ID z ustawieniem federatedIdpMfaBehavior na Zasoby |
| IA-3 Device Identification and Authentication System informacyjny jednoznacznie identyfikuje i uwierzytelnia [Przypisanie: określone przez organizację i/lub typy urządzeń] przed ustanowieniem połączenia [Wybór (co najmniej jeden): połączenie lokalne; zdalne; sieciowe]. |
Zaimplementuj identyfikację urządzenia i uwierzytelnianie przed nawiązaniem połączenia. Skonfiguruj identyfikator Entra firmy Microsoft w celu identyfikowania i uwierzytelniania zarejestrowanych w firmie Microsoft Entra, dołączonych do firmy Microsoft Entra oraz urządzeń dołączonych hybrydowych do firmy Microsoft Entra. Zasoby |
| Zarządzanie identyfikatorami IA-04 Organizacja zarządza identyfikatorami systemu informacyjnego dla użytkowników i urządzeń przez: (a.) Odbieranie autoryzacji z [Przypisanie FedRAMP co najmniej, logowanie jednokrotne (lub podobna rola w organizacji)] w celu przypisania pojedynczej osoby, grupy, roli lub identyfikatora urządzenia; (b.) Wybranie identyfikatora identyfikującego jednostkę, grupę, rolę lub urządzenie; (c.) Przypisywanie identyfikatora do zamierzonej osoby, grupy, roli lub urządzenia; (d.) Zapobieganie ponownemu używaniu identyfikatorów dla [Przypisania FedRAMP: co najmniej dwa (2) lata]; i (e.) Wyłączenie identyfikatora po [Przypisanie FedRAMP: trzydzieści pięć (35) dni (zobacz wymagania i wskazówki)] Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP i IA-4e: Wymaganie: Dostawca usług definiuje okres braku aktywności dla identyfikatorów urządzeń. Wskazówki: w przypadku chmur DoD zobacz witrynę internetową platformy DoD w chmurze, aby uzyskać szczegółowe wymagania dotyczące usługi DoD, które wykraczają poza fedRAMP. IA-4(4) Organizacja zarządza poszczególnymi identyfikatorami, jednoznacznie identyfikując każdą osobę jako [FedRAMP Assignment: contractors; foreign nationals]. |
Wyłącz identyfikatory kont po upływie 35 dni braku aktywności i zapobiegaj ich ponownemu używaniu przez dwa lata. Zarządzaj poszczególnymi identyfikatorami, identyfikując każdą osobę (na przykład wykonawcy i cudzoziemcy). Przypisz i zarządzaj poszczególnymi identyfikatorami i stanami kont w identyfikatorze Entra firmy Microsoft zgodnie z istniejącymi zasadami organizacyjnymi zdefiniowanymi w ac-02. Postępuj zgodnie z instrukcjami AC-02(3), aby automatycznie wyłączyć konta użytkowników i urządzeń po upływie 35 dni braku aktywności. Upewnij się, że zasady organizacyjne zachowują wszystkie konta, które pozostają w stanie wyłączonym przez co najmniej dwa lata. Po tym czasie można je usunąć. Określanie braku aktywności |
| Zarządzanie uwierzytelnianiem IA-5 Organizacja zarządza wystawcami uwierzytelniań systemu informacyjnego przez: (a.) Weryfikowanie, w ramach początkowej dystrybucji wystawcy uwierzytelnienia, tożsamość osoby, grupy, roli lub urządzenia odbierającego uwierzytelnienie; (b.) Ustanawianie początkowej zawartości wystawcy uwierzytelnień dla wystawców uwierzytelnień zdefiniowanych przez organizację; (c.) Zapewnienie, że wystawcy uwierzytelniania mają wystarczającą siłę mechanizmu do ich zamierzonego użycia; (d.) Ustanowienie i wdrożenie procedur administracyjnych dotyczących początkowej dystrybucji wystawców uwierzytelnienia, utraconych/naruszonych lub uszkodzonych wystawców uwierzytelnienia oraz w celu cofnięcia uwierzytelniania; (e.) Zmiana domyślnej zawartości wystawców uwierzytelnienia przed instalacją systemu informacyjnego; (f.) Ustanowienie minimalnych i maksymalnych ograniczeń okresu istnienia oraz warunków ponownego użycia dla wystawców uwierzytelnienia; (g.) Zmienianie/odświeżanie wystawców uwierzytelnienia [Przypisanie: zdefiniowany przez organizację okres według typu wystawcy uwierzytelnienia]. (h.) Ochrona zawartości wystawcy uwierzytelnienia przed nieautoryzowanym ujawnieniem i modyfikacją; (i.) Wymaganie od osób podjęcia i wdrożenia urządzeń określonych zabezpieczeń w celu ochrony wystawców uwierzytelniających; I (j.) Zmiana wystawców uwierzytelnień dla kont grup/ról w przypadku zmiany członkostwa w tych kontach. Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP i IA-5: Wymaganie: Wystawcy uwierzytelnień muszą być zgodne z normą NIST SP 800-63-3 Digital Identity Guidelines IAL, AAL, FAL level 3. Link https://pages.nist.gov/800-63-3 |
Konfigurowanie wystawców uwierzytelnień systemu informacyjnego i zarządzanie nimi. Identyfikator Entra firmy Microsoft obsługuje różne metody uwierzytelniania. Do zarządzania można użyć istniejących zasad organizacyjnych. Zobacz wskazówki dotyczące wyboru wystawcy uwierzytelnienia w IA-02(1-4). Włącz użytkownikom rejestrację połączoną na potrzeby samoobsługowego resetowania hasła i uwierzytelniania wieloskładnikowego firmy Microsoft i wymagaj od użytkowników zarejestrowania co najmniej dwóch akceptowalnych metod uwierzytelniania wieloskładnikowego w celu ułatwienia samodzielnego korygowania. Uwierzytelnianie skonfigurowane przez użytkownika można odwołać w dowolnym momencie przy użyciu interfejsu API metod uwierzytelniania. Siła wystawcy uwierzytelnienia/ochrona zawartości wystawcy uwierzytelnienia Metody uwierzytelniania i rejestracja połączona Wystawca uwierzytelniania odwołuje |
| IA-5(1) System informacyjny na potrzeby uwierzytelniania opartego na hasłach: (a.) Wymusza minimalną złożoność hasła [Przypisanie: wymagania organizacji dotyczące poufności liter, liczby znaków, kombinacji wielkich liter, małych liter, cyfr i znaków specjalnych, w tym minimalnych wymagań dla każdego typu]; (b.) Wymusza co najmniej następującą liczbę zmienionych znaków podczas tworzenia nowych haseł: [Przypisanie FedRAMP: co najmniej pięćdziesiąt procent (50%); (c.) Przechowuje i przesyła tylko kryptograficznie chronione hasła; (d.) Wymusza minimalne i maksymalne ograniczenia okresu istnienia hasła [Przypisanie: numery zdefiniowane przez organizację dla minimalnego okresu istnienia, maksymalny okres istnienia]; (e.)** Uniemożliwia ponowne użycie hasła dla [Przydział FedRAMP: dwadzieścia cztery (24)] generacje; i (f.) Umożliwia używanie tymczasowego hasła do logowania systemu z natychmiastową zmianą w trwałym haśle. IA-5 (1) a i d Dodatkowe wymagania i wskazówki FedRAMP: Wskazówki: Jeśli zasady haseł są zgodne z zasadami NIST SP 800-63B Wpis tajny do zapamiętania (sekcja 5.1.1), kontrolka może być uważana za zgodną. |
Zaimplementuj wymagania dotyczące uwierzytelniania opartego na hasłach. Na NIST SP 800-63B Sekcja 5.1.1: Zachowaj listę powszechnie używanych, oczekiwanych lub naruszonych haseł. Dzięki ochronie haseł w usłudze Microsoft Entra domyślne globalne listy zakazanych haseł są automatycznie stosowane do wszystkich użytkowników w dzierżawie firmy Microsoft Entra. Aby obsługiwać potrzeby biznesowe i związane z zabezpieczeniami, możesz zdefiniować wpisy na niestandardowej liście zakazanych haseł. Gdy użytkownicy zmieniają lub resetują swoje hasła, te listy zakazanych haseł są sprawdzane, aby wymusić użycie silnych haseł. Zdecydowanie zachęcamy do strategii bez hasła. Ta kontrolka ma zastosowanie tylko do wystawców uwierzytelniania haseł, dlatego usunięcie haseł jako dostępnego wystawcy uwierzytelniającego powoduje, że ta kontrolka nie ma zastosowania. Dokumenty referencyjne NIST Zasób |
| IA-5(2) System informacyjny na potrzeby uwierzytelniania opartego na infrastrukturze kluczy publicznych: (a.) Weryfikuje certyfikaty, konstruując i weryfikując ścieżkę certyfikacji do zaakceptowanej kotwicy zaufania, w tym sprawdzając informacje o stanie certyfikatu; (b.) Wymusza autoryzowany dostęp do odpowiedniego klucza prywatnego; (c.) Mapy uwierzytelnionej tożsamości na koncie osoby lub grupy; i (d.) Implementuje lokalną pamięć podręczną danych odwołania w celu obsługi odnajdywania i walidacji ścieżki podczas braku możliwości uzyskania dostępu do informacji o odwołaniu za pośrednictwem sieci. |
Implementowanie wymagań dotyczących uwierzytelniania opartego na infrastrukturze PKI. Federate Microsoft Entra ID via AD FS to implementowanie uwierzytelniania opartego na infrastrukturze PKI. Domyślnie usługi AD FS weryfikuje certyfikaty, lokalnie buforuje dane odwołania i mapuje użytkowników na uwierzytelnionej tożsamości w usłudze Active Directory. Zasoby |
| IA-5(4) Organizacja stosuje zautomatyzowane narzędzia do określania, czy wystawcy uwierzytelniania haseł są wystarczająco silne, aby spełnić wymagania [Przypisanie FedRAMP: złożoność zidentyfikowana w ulepszeniach kontroli IA-5 (1) (H) Część A]. IA-5(4) Dodatkowe wymagania i wskazówki dotyczące protokołu FedRAMP: Wskazówki: Jeśli zautomatyzowane mechanizmy wymuszające siłę wystawcy uwierzytelniania haseł podczas tworzenia nie są używane, zautomatyzowane mechanizmy muszą być używane do przeprowadzania inspekcji sił utworzonych wystawców uwierzytelnienia haseł. |
Stosowanie zautomatyzowanych narzędzi do weryfikowania wymagań dotyczących siły hasła. Microsoft Entra ID implementuje zautomatyzowane mechanizmy wymuszające siłę wystawcy uwierzytelniania haseł podczas tworzenia. Ten zautomatyzowany mechanizm można również rozszerzyć, aby wymusić siłę wystawcy uwierzytelniania haseł dla lokalna usługa Active Directory. Poprawka 5 NIST 800-53 wycofała IA-04(4) i wprowadziła wymóg do IA-5(1). Zasoby |
| IA-5(6) Organizacja chroni wystawców uwierzytelnień proporcjonalnie do kategorii zabezpieczeń informacji, do których korzystanie z wystawcy uwierzytelniającego zezwala na dostęp. |
Chroń wystawcy uwierzytelnień zgodnie z definicją na poziomie FedRAMP High Impact. Aby uzyskać więcej informacji na temat ochrony wystawców uwierzytelnień w usłudze Microsoft Entra ID, zobacz Microsoft Entra data security considerations (Zagadnienia dotyczące zabezpieczeń danych firmy Microsoft Entra). |
| IA-05(7) Organizacja zapewnia, że niezaszyfrowane statyczne uwierzytelnianie nie jest osadzone w aplikacjach ani skryptach dostępu ani przechowywanych na kluczach funkcji. |
Upewnij się, że nieszyfrowane statyczne uwierzytelnianie (na przykład hasło) nie są osadzone w aplikacjach ani skryptach dostępu ani przechowywane w kluczach funkcji. Zaimplementuj tożsamości zarządzane lub obiekty jednostki usługi (skonfigurowane tylko przy użyciu certyfikatu). Zasoby |
| IA-5(8) Organizacja implementuje [Przypisanie FedRAMP: różne wystawcy uwierzytelnienia w różnych systemach] w celu zarządzania ryzykiem naruszenia z powodu osób mających konta w wielu systemach informacyjnych. |
Zaimplementuj zabezpieczenia zabezpieczeń, gdy osoby mają konta w wielu systemach informacyjnych. Zaimplementuj logowanie jednokrotne, łącząc wszystkie aplikacje z identyfikatorem Microsoft Entra ID, a nie z indywidualnymi kontami w wielu systemach informacyjnych. |
| IA-5(11) System informacyjny na potrzeby uwierzytelniania opartego na tokenach sprzętowych wykorzystuje mechanizmy spełniające [Przypisanie: wymagania dotyczące jakości tokenu zdefiniowanego przez organizację]. |
Wymagaj wymagań dotyczących jakości tokenu sprzętowego zgodnie z wymaganiami na poziomie FedRAMP High Impact. Wymagaj użycia tokenów sprzętowych spełniających usługę AAL3. Osiągnięcie poziomu UWIERZYTELNIANIA NIST przy użyciu Platforma tożsamości Microsoft |
| IA-5(13) System informacyjny uniemożliwia korzystanie z buforowanych wystawców uwierzytelnień po [Przypisanie: zdefiniowany przez organizację okres]. |
Wymusić wygaśnięcie buforowanych wystawców uwierzytelnienia. Buforowane uwierzytelnianie jest używane do uwierzytelniania na komputerze lokalnym, gdy sieć nie jest dostępna. Aby ograniczyć korzystanie z buforowanych wystawców uwierzytelnień, skonfiguruj urządzenia z systemem Windows, aby wyłączyć ich używanie. Jeśli ta akcja nie jest możliwa lub praktyczna, należy użyć następujących mechanizmów kontroli wyrównywujących: Konfigurowanie kontroli sesji dostępu warunkowego przy użyciu ograniczeń wymuszanych przez aplikację dla aplikacja pakietu Office licacji. Zasoby |
| IA-6 Authenticator Feedback System informacyjny zaciemnia informacje zwrotne informacji o uwierzytelnianiu podczas procesu uwierzytelniania w celu ochrony informacji przed możliwym wykorzystaniem/użyciem przez nieautoryzowane osoby. |
Niejasne informacje zwrotne dotyczące uwierzytelniania podczas procesu uwierzytelniania. Domyślnie identyfikator Entra firmy Microsoft ukrywa wszystkie opinie wystawców uwierzytelnienia. |
| Uwierzytelnianie modułu kryptograficznego IA-7 System informacyjny implementuje mechanizmy uwierzytelniania w module kryptograficznym pod kątem wymagań obowiązujących przepisów federalnych, zamówień wykonawczych, dyrektyw, zasad, przepisów, standardów i wskazówek dotyczących takiego uwierzytelniania. |
Zaimplementuj mechanizmy uwierzytelniania w module kryptograficznym, który spełnia obowiązujące przepisy federalne. Poziom FedRAMP High Impact wymaga wystawcy uwierzytelniającego AAL3. Wszystkie wystawcy uwierzytelnienia obsługiwane przez identyfikator entra firmy Microsoft w usłudze AAL3 udostępniają mechanizmy uwierzytelniania dostępu operatora do modułu zgodnie z potrzebami. Na przykład w przypadku wdrożenia Windows Hello dla firm ze sprzętowym modułem TPM skonfiguruj poziom autoryzacji właściciela modułu TPM. Zasoby |
| Identyfikacja i uwierzytelnianie IA-8 (użytkownicy niebędący organizacją) System informacyjny jednoznacznie identyfikuje i uwierzytelnia użytkowników niebędących użytkownikami organizacyjnymi (lub procesami działającymi w imieniu użytkowników innych niż organizacyjne). |
System informacyjny jednoznacznie identyfikuje i uwierzytelnia użytkowników nieorganizacyjnych (lub procesów działających dla użytkowników nieorganizacyjnych). Identyfikator Entra firmy Microsoft jednoznacznie identyfikuje i uwierzytelnia użytkowników nieorganizacyjnych w dzierżawie organizacji lub w katalogach zewnętrznych przy użyciu protokołów zatwierdzonych przez usługę Federal Identity, Credential i Access Management (FICAM). Zasoby |
| IA-8(1) System informacyjny akceptuje i elektronicznie weryfikuje poświadczenia weryfikacji tożsamości osobistej (PIV) z innych agencji federalnych. IA-8(4) System informacyjny jest zgodny z profilami wystawionymi przez program FICAM. |
Zaakceptuj i zweryfikuj poświadczenia PIV wydane przez inne agencje federalne. Zgodność z profilami wydanymi przez FICAM. Skonfiguruj identyfikator entra firmy Microsoft, aby akceptował poświadczenia PIV za pośrednictwem federacji (OIDC, SAML) lub lokalnie za pośrednictwem zintegrowanego uwierzytelniania systemu Windows. Zasoby |
| IA-8(2) System informacyjny akceptuje tylko poświadczenia innych firm zatwierdzone przez fiCAM. |
Zaakceptuj tylko poświadczenia zatwierdzone przez program FICAM. Identyfikator Entra firmy Microsoft obsługuje wystawcy uwierzytelnień w NIST AALs 1, 2 i 3. Ogranicz użycie wystawców uwierzytelnienia proporcjonalnie do kategorii zabezpieczeń używanego systemu. Identyfikator Entra firmy Microsoft obsługuje szeroką gamę metod uwierzytelniania. Zasoby |
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla